Cookie缺失secure属性漏洞修复

Secure属性背景

Cookie Secure，是设置COOKIE时，可以设置的一个属性，设置了这个属性后，只有在https访问时，浏览器才会发送该COOKIE。

浏览器默认只要使用http请求一个站点，就会发送明文cookie，如果网络中有监控，可能被截获。

如果web应用网站全站是https的，可以设置cookie加上Secure属性，这样浏览器就只会在https访问时，发送cookie。

攻击者即使窃听网络，也无法获取用户明文cookie。

修复思路

设置cookie时，加入属性httponly，但需要注意几点问题：

1、在cookie类中没有找到设置httponly的方法，目前的jdk版本只支持在setHeader时，设置httponly。

2、httponly已经可以防止用户cookie被窃取，只能增加攻击者的难度，不能达到完全防御XSS攻击。

代码修复

在设置认证COOKIE时，加入Secure。参考代码：

response.setHeader("SET-COOKIE", "user=" + request.getParameter("cookie") + "; HttpOnly ; Secure ");

服务器配置为HTTPS SSL方式

Servlet 3.0 (Java EE 6)的web.xml 进行如下配置：

<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>

ASP.NET的Web.config中进行如下配置：

<httpCookies requireSSL="true" />

php.ini中进行如下配置

session.cookie_secure = True

weblogic中进行如下配置：

<wls:session-descriptor>
<wls:cookie-secure>true</wls:cookie-secure>
<wls:cookie-http-only>true</wls:cookie-http-only>
</wls:session-descriptor>